Home / Aktuelles & Termine / it.sec blog

Der Austritt von Großbritannien ist beschlossen. Neben zahlreichen Unklarheiten, blieb ebenso fraglich, in welcher Form das Land mit dem Datenschutz umgehen wird. Bis zum endgültigen Austritt besteht zwar auch für Großbritannien die Umsetzungspflicht der Datenschutzgrundverordnung (DSGVO), nicht aber danach.

In einer offiziellen Absichtserklärung vom 7. August dieses Jahres hat die Regierung des Landes erklärt, dass es die Bestimmungen der DSGVO in nationales Recht umsetzen will. Dabei erklärte die Regierung, dass mit der Reform des Datenschutzrechts der einzelnen Person mehr Kontrolle über seine Daten gegeben werden soll. Auch sollen die Bußgelder in gleicher Weise bemessen werden, wie es die DSGVO vorsieht, also in den schwerwiegendsten Fällen einer Datenschutzverletzung bis zu 20 Millionen Euro (oder hier bis zu 17 Millionen Pfund) oder bis zu 4% vom gesamten Jahresumsatz.

Weitere grundlegende Ziele und Pflichten aus der DSGVO sollen ebenfalls in britisches Recht umgesetzt werden (z.B. das Recht auf Vergessenwerden).

Oberster Zweck der Reform wird es wohl sein, dass sich Großbritannien als Drittland mit angemessenem Datenschutzniveau etablieren kann. um auch nach dem Brexit einen ungehinderten Fluss der personenbezogenen Daten zwischen dem Land und den EU-Staaten garantieren zu können.

Bisher konnte die Regierung noch keinen konkreten Gesetzesentwurf vorlegen, allerdings gibt es bereits Pläne, welche Reformen sich vollziehen sollen. Die Regierung hat hierzu ein PDF-Dokument veröffentlicht.

Ob und in welcher Form die Regierung garantieren kann, dass auch noch nach dem Austritt des Landes die neuen Regelungen in Kraft bleiben, ist abzuwarten.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Bereits im Bundesdatenschutzgesetz (BDSG) war eine Definition besonderer Arten personenbezogener Daten (gem. § 3 Abs. 9 BDSG-alt) festgelegt. Diese besonderen Arten stellten Daten dar, welche in besonders einschneidender Weise Auskunft über eine betroffene Person ermöglichten. Daher war eine Verarbeitung dieser Daten nur eingeschränkt möglich.

Die im BDSG enthaltenen Regelungen finden sich auch in der DSGVO wieder.

Laut der DSGVO sind gem. Art. 9 Abs. 1 DSGVO besondere Kategorien personenbezogener Daten Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, sexuelle Orientierung sowie genetische oder biometrische Daten.

Genetische und biometrische Daten wurden in die Definition besonderer Kategorien personenbezogener Daten aufgenommen. Genetische Daten sind solche, die die ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person enthalten (Art. 4 Abs. 13 DSGVO). Biometrische Daten sind die physischen, physiologischen oder verhaltenstypischen Merkmale einer natürlichen Person, die mit speziellen technischen Verfahren gewonnen wurden (gem. Art. 4 Abs. 14 DSGVO).

Eine Datenpanne mit besonderen Kategorien personenbezogener Daten kann einen sehr viel erheblicheren Schaden bei der betroffenen Person bewirken. Sofern also das Unternehmen mit diesen Daten umgeht, sollte eine besondere Sorgfalt bezüglich der Sicherheit dieser Daten zukommen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Gestern ist im Bahnhof Berlin-Südkreuz das angekündigte Pilotprojekt zur 6-monatigen Testphase zur Gesichtserkennung mittels Videoüberwachungssystems angelaufen.

Hierbei zeichnen die Videokameras nicht mehr „nur“ einfache Bilddaten der Passanten auf, sondern ermitteln auch die physiologischen Eigenschaften ihrer Gesichter. Die so erhobenen biometrischen Daten werden dann mithilfe einer Datenbank, die derzeit noch biometrische Daten ausgewählter Testpersonen enthält, abgeglichen. Während der Testphase soll ermittelt werden, ob eine Identifizierung der Testpersonen damit faktisch möglich ist. Funktioniert die Identifizierung, soll die Technik zukünftig für die frühzeitige Erkennung von Terroristen und gesuchten Straftätern eingesetzt werden. Den Passanten, die nicht als Testpersonen involviert sind, wird durch Kenntlichmachung der videoüberwachten Bereiche die Möglichkeit gegeben, dem Projekt auszuweichen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit äußerte sich zu diesem Projekt mit äußerster Skepsis. In der entsprechenden Pressemitteilung teilte sie mit, dass der Einsatz einer solchen Technik nur unter strengen Voraussetzungen möglich sein darf, da die Erweiterung der Videoüberwachung um die biometrische Gesichtserkennung ein tiefgreifender Einschnitt in das Persönlichkeitsrecht der Menschen sei. Insbesondere schaffe der Gebrauch dieser Technik erhebliche Risiken für die betroffenen Personen (Testpersonen und Passanten). Sollten die biometrischen Informationen an Unbefugte gelangen, wären die Betroffenen lebenslang von Identitätsdiebstahl bedroht, da biometrische Daten nicht einfach abänderbar sind.

Biometrische Daten gehören zu den besonderen Kategorien personenbezogener Daten. Diese unterliegen noch strikterem Schutz, denn im Fall einer unbefugten Offenlegung dieser besonders sensiblen Angaben kann dies weitreichende Schäden für die betroffenen Personen erzeugen.

Näheres zu den besonderen Kategorien personenbezogener Daten finden Sie in unserem nächsten Blogbeitrag.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Das Prinzip der datenschutzfreundlichen Technik (Privacy by Design und Privacy by Default) dient der Erhöhung der Datensicherheit der von einer Datenerhebung betroffenen Person. Die Datenschutzgrundverordnung (DSGVO) legt dieses Datenschutzprinzip als Schutzmaßnahme personenbezogener Daten in Art. 25 Abs. 1 DSGVO (Privacy by Design) und Art. 25 Abs. 2 DSGVO (Privacy by Default) fest.

Der Schutz der personenbezogenen Daten soll zum einen schon bei Entwicklung eines Datenverarbeitungssystems erreicht werden (Privacy by Design). Zum anderen sollen durch geeignete Voreinstellungen nur die absolut notwendigen Datenverarbeitungen mit der eingesetzten Technik getätigt werden (Privacy by Default).

Die Pflicht, diese zwei Prinzipien umzusetzen, gilt für jeden Verantwortlichen, der eine Software einsetzt bzw. nutzt. Das heißt, wenn ein Unternehmen beispielsweise einen Auftrag zur Erstellung einer mobilen Applikation erteilt, muss es dafür Sorge tragen, dass der Auftragnehmer sich bereits bei der Programmierung nach den Prinzipien Privacy by Design und Default richtet. Tut es dies nicht, droht ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des gesamten Jahresumsatzes des vergangenen Geschäftsjahres.

Doch eine Umsetzung der Prinzipien kann nicht nur ein Bußgeld verhindern, sondern auch tatsächliche Vorteile für ein Unternehmen generieren. Sofern bereits im Vorhinein die Prinzipien Privacy by Design und by Default berücksichtigt werden, muss nicht im Nachhinein eine ggf. kostspielige Anpassung des Systems erfolgen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Brexit Bundesarbeitsgericht Bußgeld Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31